Секретный шифр: в чем разница между классической, квантовой и постквантовой криптографиями27.07.2022 15:48

Любой шифр, любой секретный язык, которым мы пользовались в детстве, по сути представляет собой криптографический метод. Чтобы объяснить принципы работы таких методов, обычно используется классическая схема с условными персонажами — Алисой и Бобом. Алиса пытается передать Бобу некое сообщение, зашифрованное с помощью специального алгоритма, Бобу нужно его получить и расшифровать. В этой схеме есть еще один субъект — Ева, которая пытается перехватить информацию. Шифрование и расшифрование сообщений происходит при помощи криптографических ключей. Здесь можно провести очень простую аналогию: есть сообщение, есть шкатулка — криптографические методы —, а есть ключи к этой шкатулке — криптографические ключи.

В классической криптографии есть два способа не позволить Еве дешифровать (нелегально расшифровать) сообщение. Первый — алгоритмы симметричной криптографии, когда криптографический ключ одинаковый у Алисы и Боба. Но здесь есть сложность: обеспечить безопасную передачу ключа всем сторонам достаточно проблематично — поскольку если ключ каким-то образом попадет в руки Евы, она получит полный доступ к зашифрованной информации. 

Второй способ — асимметричная криптография, один из самых популярных современных методов шифрования. В этом случае ключи шифрования и расшифрования будут разными, но они связаны между собой математической функцией, построенной в виде односторонней задачи — такую легко решить в одну сторону и очень сложно в обратную. Самый простой пример — умножение простых чисел: не стоит большого труда умножить 13 на 17, но чтобы разложить на множители число 221, потребуется намного больше усилий и времени. Иначе говоря, сообщение с открытым ключом, которое отправляет Алиса, могут получить все посредники передачи, но расшифровать его сможет только Боб с помощью своего закрытого ключа. 

Однако взломать эту систему все же возможно, и это доказал в 1994 году американский математик Питер Шор. С помощью алгоритма, получившего его имя, Шор продемонстрировал: при наличии квантового компьютера достаточной мощности большинство асимметричных криптографических систем могут быть успешно взломаны.

В реальности квантовый компьютер достаточный для взлома асимметричных схем мощности еще не разработан. Первые квантовые компьютеры уже есть, но их мощностей пока недостаточно, чтобы справиться с ассимметричным шифром. Существующие прототипы имеют 127 квантовых бит, а, чтобы взломать RSA, один из самых распространенных алгоритмов асимметричной криптографии, потребуется 20 млн кубит.

Что такое кубиты? В обычных компьютерах основная единица измерения — бит, который может находиться в значении либо нуля, либо единицы. Квантовые же компьютеры хранят информацию в кубитах, которые, в отличие от битов, могут принимать сразу несколько состояний. Поэтому при решении задачи квантовые компьютеры проводят операции не последовательно, как обычные, а одновременно —, а значит, им под силу намного более сложные вычисления.

Появление квантовых компьютеров достаточной мощности — лишь вопрос времени: при нынешних темпах развития их можно ожидать примерно к 2030 году. Это значит, что для данных, актуальность защиты которых более 5 лет, уже сейчас нужно использовать новые методы защиты.

Необходимость новых систем, устойчивых к атакам квантового компьютера, привело к появлению квантовой криптографии. Квантовая криптография создает и распределяет симметричные ключи, но для их передачи использует квантовые технологии. Носителем данных здесь выступает фотон, в который кодируются биты информации. Перехватить такой фотон незаметно невозможно: если Ева попытается это сделать, фотон изменит свое состояние — и Алисе с Бобом станет очевиден факт вмешательства. 

Происходит это благодаря принципу суперпозиции: фотон одновременно находится в одном из своих базовых состояний, 0 или 1. Но как только мы его измеряем, неопределенность исчезает, и мы получаем либо 0, либо 1. Это знаменитый феномен кота Шредингера: пока не открыли ящик, кот одновременно и жив, и мертв —, но стоит поднять крышку, остается лишь один вариант.

Если в финальном ключе обнаруживается множество ошибок — это сигнал, что ключ мог попасть в руки злоумышленников и пользоваться им нельзя. 

Параллельно квантовой криптографии в мире начали развиваться методы постквантовой криптографии — алгоритмы, построенные на сложных математических задачах. Это задачи, которые не под силу решить квантовому компьютеру — во всяком случае, сегодня такие методы неизвестны.

Таким образом, квантовая и постквантовая криптография относятся к разным аспектам защиты информации: квантовая делает это на уровне законов физики и не занимается алгоритмами шифрования как таковыми — она занимается решениями квантового распределения ключей. Постквантовая обеспечивает защиту на уровне математики. Если еще проще, квантовая криптография — хард, постквантовая — софт. Важно, что квантовую и постквантовую криптографии не стоит противопоставлять — технологии синергичны. Первая в большей степени направлена на инфраструктуру, а вторая связана с пользователем. 

На практике это может выглядеть следующим образом: квантовые коммуникации будут защищать данные сетевой инфраструктуры, а постквантовая криптография — данные  конечных сервисов (мобильных или десктопных приложений).

Сегодня методы постквантового шифрования активно развиваются в разных странах мира. В России разработкой открытых криптографических стандартов, в том числе для постквантовых алгоритмов, занимается Технический комитет 26. Именно на основе этих стандартов QApp и другие производители создают коммерческие продукты. Внедряя эти решения сейчас, бизнес, по сути, защищает себя от угроз уже недалекого будущего.

Под угрозой атак с применением квантовых компьютеров находятся все данные, жизненный цикл которых превышает 5 лет. Задуматься об их защите нужно уже сегодня, не дожидаясь появления квантового компьютера — когда это случится, предпринимать действия будет уже поздно.

К такого рода данным относятся, в частности, персональные и финансовые данные, корпоративная и государственная тайны. Эта информация может использоваться в разных отраслях: финансовых, медицинских, телекоммуникационных компаниях, предприятиях с критической информационной инфраструктурой. Всем этим организациям уже сейчас нужно начинать внедрение решений на основе квантовых и постквантовых систем защиты.